Cześć,
poszukuję jakiegoś softu (OS dowolny) który będzie zbierał logi ze span portu. Nie potrzeba mi jednak nic co zaglądałoby głęboko w pakiet, potrzebuje jedynie adresów źródłowych i docelowych oraz portów (tak samo źródło i cel) i protokołu TCP/UDP - nic więcej. Sniffer byłby overkillem.
Takie coś jednak powinno działać 24/7 więc jakieś oparcie o bazę i ew. mechanizm wyszukiwania.
Czy znacie coś co spełni te wymagania i będzie (najlepiej) darmowe?
Zbieranie logów ze span portu
Może spróbuj SILK'a -> https://tools.netsa.cert.org/silk/ ... generalnie działa to tak, że YAF chodzi sobie na maszynce podobnie jak tcpdump, z tym, że zamiast logować całe pakiety, przetwarza to na IP-FIXa i wysyła do rwflowpack'a, który pakuje to i przetrzymuje na dysku w formie binarnej.
Potem można sobie to przeszukiwać, sortować itp. są do tego narzędzia w tym pakiecie.
U siebie mam około 3Gbps w szczycie ruchu i z całego dnia wychodzi jakieś 25GB logów, więc trochę tego jest, ale masz każdy flow co mi się przydaje do diagnostyki ... oczywiście przechowuje z tego tylko 2 dni dla ruchu tranzytowanego i 30 dni dla ruchu kierowanego do i z mojej adresacji.
Potem można sobie to przeszukiwać, sortować itp. są do tego narzędzia w tym pakiecie.
U siebie mam około 3Gbps w szczycie ruchu i z całego dnia wychodzi jakieś 25GB logów, więc trochę tego jest, ale masz każdy flow co mi się przydaje do diagnostyki ... oczywiście przechowuje z tego tylko 2 dni dla ruchu tranzytowanego i 30 dni dla ruchu kierowanego do i z mojej adresacji.
"Good, Fast and Cheap, you can pick any two but you cannot have all three"